O código-fonte do Miasma, um dos worms de supply chain mais avançados já identificados, foi colocado publicamente no GitHub na segunda-feira (8) por meio de contas de desenvolvedores que haviam sido comprometidas. A empresa de segurança SafeDep conseguiu acessar um dos repositórios antes que o GitHub o removesse e confirmou que o material vai bem além do worm original. O que saiu a público é um kit completo para realizar ataques à cadeia de suprimentos de software.
Um worm de supply chain é um tipo de malware que se espalha contaminando pacotes de software legítimos. Quando um desenvolvedor baixa um pacote infectado e o inclui em seu projeto, o worm se propaga automaticamente para novos sistemas e novos pacotes. O Miasma já havia comprometido mais de 100 projetos de código aberto da Red Hat e da Microsoft antes de atingir outras vítimas. A empresa de segurança Socket rastreou 473 artefatos de pacotes afetados até terça-feira.
smart_display
Vídeos em destaque
O que foi divulgado vai além do worm
A SafeDep ressaltou que o código vazado não é apenas o worm em si, mas uma plataforma inteira de ataque. Com esse kit, um operador consegue roubar credenciais de serviços de nuvem como AWS, Azure e Google Cloud, infectar pacotes em repositórios npm, PyPI e RubyGems, comprometer repositórios e fluxos de automação no GitHub, infiltrar-se em ferramentas de inteligência artificial usadas por desenvolvedores e movimentar-se lateralmente em redes corporativas via SSH.
O pesquisador Rami McCarthy, da Wiz, confirmou que o repositório é uma evolução do Mini Shai-Hulud, um worm anterior cujo código também foi publicado no mês passado por um grupo chamado TeamPCP.
 "Miasma: código‑fonte do vírus vaza no GitHub e se transforma em kit para cibercrime 2")
Como o Miasma se propaga sem levantar suspeitas
Um dos pontos mais sofisticados do Miasma é que ele não depende de infraestrutura própria para operar. Todo o controle remoto, a coleta de dados e a comunicação com os atacantes são realizados dentro do próprio GitHub.
Na prática, o worm utiliza a busca pública de commits do GitHub como um canal de comando. Ele procura por mensagens de commit que contenham strings específicas, como “DontRevokeOrItGoesBoom” e “TheBeautifulSandsOfTime”, e extrai instruções cifradas a partir desses commits.
Isso representa um desafio sério para defesas tradicionais. Ferramentas de segurança de rede normalmente identificam tráfego suspeito que se dirige a servidores desconhecidos. Um worm que se comunica exclusivamente com o GitHub consegue passar despercebido por esses filtros.
 "Miasma: código‑fonte do vírus vaza no GitHub e se transforma em kit para cibercrime 3")
O Miasma emprega um método engenhoso para garantir que os atacantes mantenham acesso a novas credenciais. Quando o worm infecta uma máquina e exfiltra o token de acesso de um desenvolvedor, ele embute esse token cifrado em um commit público no GitHub com a mensagem “DontRevokeOrItGoesBoom”.
Instâncias futuras do worm em outras máquinas fazem buscas por essa string e localizam o token da vítima, usando-o como infraestrutura para os próximos ataques. Cada conta comprometida alimenta automaticamente o ciclo de infecção subsequente.
Quem tiver o token roubado e tentar revogá-lo pode sofrer uma consequência severa. O Miasma instala silenciosamente um script de monitoramento na máquina da vítima que verifica a validade do token a cada 60 segundos. Se o token for revogado, o script executa um comando que remove todo o conteúdo da pasta pessoal do usuário e da pasta Documentos. O próprio nome da string de busca, “DontRevokeOrItGoesBoom”, funciona como um aviso literal.
O que contamina ferramentas de IA
O kit também inclui um módulo específico para envenenar ferramentas de inteligência artificial usadas por desenvolvedores, como Claude, Gemini CLI, Cursor e Copilot.
O worm injeta arquivos de configuração maliciosos nos repositórios que fazem com que essas ferramentas executem o payload automaticamente ao iniciar uma sessão. Isso significa que um desenvolvedor que abrir seu assistente de IA em um projeto infectado pode, sem intenção, ativar o malware sem qualquer ação direta.
 "Miasma: código‑fonte do vírus vaza no GitHub e se transforma em kit para cibercrime 4")
O vazamento altera algo na prática?
Segundo McCarthy, da Wiz, nem necessariamente. Ele observou que, quando o TeamPCP tornou público o código do Mini Shai-Hulud no mês passado, nenhum atacante oportunista chegou a utilizar o toolkit. Grupos sofisticados tendem a continuar desenvolvendo suas próprias variantes privadas do malware.
O principal risco do vazamento, de acordo com os pesquisadores, é dificultar a atribuição dos ataques. Com o código disponível publicamente, qualquer incidente futuro com características do Miasma pode ter sido perpetrado por qualquer pessoa, e não necessariamente pelo grupo original.
Para organizações que dependem de pacotes de código aberto, a recomendação é monitorar alterações inesperadas em dependências, revisar permissões de tokens de acesso e, principalmente, adotar ferramentas que atuem na camada de protocolo de aplicação em vez de confiar apenas na análise de tráfego de rede.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e no canal do YouTube.
